Un nuovo malware denominato Airstalk è stato recentemente individuato in una sofisticata campagna informatica sospettata di essere orchestrata da un gruppo di hacker sponsorizzato da uno Stato. L'attacco, che presenta tipiche caratteristiche supply chain, sfrutta le API di AirWatch, nota piattaforma di Mobile Device Management (MDM) ora chiamata Workspace ONE Unified Endpoint Management, per stabilire un canale di comando e controllo (C2) nascosto. Secondo i ricercatori di Palo Alto Networks Unit 42, il gruppo, identificato come CL-STA-1009, utilizza Airstalk in due varianti principali: una in PowerShell e una più avanzata in .NET.

Airstalk si distingue per la sua capacità di eludere i sistemi di sicurezza e agire in modo furtivo, sfruttando le funzionalità legittime delle API di AirWatch per eseguire operazioni malevole come la raccolta di screenshot, cookies, cronologia e segnalibri dei browser, oltre alla possibilità di caricare file. La variante .NET espande ulteriormente il raggio d'azione, prendendo di mira anche browser enterprise come Microsoft Edge e Island, e tenta di camuffarsi come un legittimo strumento di supporto AirWatch, AirwatchHelper.exe.

Funzionamento della variante PowerShell

Per quanto riguarda il funzionamento, la versione PowerShell di Airstalk sfrutta l'endpoint "/api/mdm/devices/" per le comunicazioni C2, utilizzando gli attributi personalizzati dell'API per ottenere e trasmettere informazioni in modo occulto tra il dispositivo compromesso e l'attaccante. Tra le azioni supportate dal malware figurano:

• Cattura dello schermo
• Estrazione di cookie e cronologia da Google Chrome
• Lettura dei segnalibri
• Scansione dei file nelle directory utente
• Capacità di auto-disinstallarsi

L'esfiltrazione di dati voluminosi avviene tramite la funzione "blobs" dell'API AirWatch.

Caratteristiche della variante .NET

La variante .NET aggiunge ulteriori funzioni e thread di esecuzione, tra cui la gestione dei task C2, l'esfiltrazione dei log di debug e il beaconing verso il server di controllo. Sono state identificate anche nuove tipologie di messaggi, come MISMATCH, DEBUG e PING, a supporto delle diverse attività malevole. Alcuni campioni di questa versione risultano firmati con un certificato probabilmente rubato, rilasciato da una CA legittima, aumentando le difficoltà di rilevamento.

Implicazioni e obiettivi dell'attacco

Non è ancora chiaro il vettore di diffusione di Airstalk né le vittime specifiche, ma la scelta di sfruttare API MDM e browser aziendali suggerisce un attacco supply chain mirato al settore del business process outsourcing (BPO). Questo segmento, da sempre appetibile per attori criminali e statali, rischia gravi compromissioni soprattutto per l'utilizzo di sessioni browser e cookie rubati, che potrebbero aprire le porte anche ai dati dei clienti delle aziende colpite.